SlideShare a Scribd company logo

Анализ работы антивирусных лабораторий

Download as PPT, PDF
Positive Hack Days
Positive Hack Days
Technology
1 of 18
WHOAMI Markov Pavel: Found zero-day in Windows (execute arbitrary code by manipulating with folder settings) Just a developer Agievich Igor: Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006) Not even a developer :)
С чего всё началось Нашей командой создавалось корпоративное приложение для синхронизации данных с облаком
Состав приложения Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер). Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.
Через некоторое время в логах сервера Remote IP: 109.74.154.83 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Пробиваем данные о подозрительном IP General Information Hostname 109-74-154-83.ptr.eset.com IP 109.74.154.83 Preferable MX a.mx.eset.com
Другие записи логов Remote IP: 193.71.68.2 User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4 Nslookup nslookup 193.71.68.2 Non-authoritative answer: 2.68.71.193.in-addr.arpa name = norman.norman.no
Следующий лог Remote IP: 150.70.172.108 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.172.108 Делаем привычный запрос nslookup $ nslookup 150.70.172.108 Non-authoritative answer: 108.172.70.150.in-addr.arpa name = 150-70-172- 108.trendmicro.com
И опять trendmicro Remote IP: 150.70.64.197 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.64.197 Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.
Что всё это значит?  Кто-то взломал сети антивирусников и использует их как прокси  Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.
Логи ошибок от клиентского ПО Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага). Результат ipconfig с одного из клиентов: Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . . . . . . . : 00-50-56-8E-01-10
Результат dir C: с другого клиента Directory of c: 04/16/2010 12:25 0 AUTOEXEC.BAT 04/16/2010 12:25 0 CONFIG.SYS 04/16/2010 12:27 <DIR> Documents and Settings 04/12/2012 13:17 459,982 A0iYkCc.exe 04/16/2010 12:27 <DIR> Program Files 12/11/2011 13:02 <DIR> WINDOWS 3 File(s) 459,982 bytes 3 Dir(s) 8,396,890,112 bytes free
Результат systeminfo Название ОС: Microsoft Windows XP Professional Версия ОС: 5.1.2600 Service Pack 3 Build 2600 Дата установки: 2010-4-29, 5:35:19 Изготовитель системы: Red Hat Модель системы: KVM Тип системы: X86-based PC Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz Версия BIOS: QEMU - 1
Результат tasklist System Idle Process 0 Console 0 28 K Running NT AUTHORITYSYSTEM python.exe 1776 Console 0 4,412 K Running Admintrator pythonw.exe 1820 Console 0 6,352 K Running Admintrator hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator
Ещё из логов в тот же день Remote IP: 69.164.111.198 User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC whois возвращает строчку OrgName: Sungard Network Solutions, Inc. Вот их сайт: http://www.sungard.com
Неведома зверушка из Германии Remote IP: 91.20.15.86 User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) Из whois: person: Security Team remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.
С чего такой интерес со стороны АВ лабораторий? Функционал ПО, который может оказаться подозрительным: 1. Сбор информации о системе 2. Реализация удалённого обновления (download and exec — как зловред)
Выводы 1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси. 2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления. 3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.
Вопросы? twitter: @shanker_sec http://habrahabr.ru/users/shanker

Recommended

Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первымPositive Hack Days
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
 
Продвинутая web-отладка с Fiddler
Продвинутая web-отладка с FiddlerПродвинутая web-отладка с Fiddler
Продвинутая web-отладка с FiddlerAlexander Feschenko
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Expolink
 
Как собрать самому хакерский планшет
Как собрать самому хакерский планшетКак собрать самому хакерский планшет
Как собрать самому хакерский планшетPositive Hack Days
 
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QAFest
 

Recommended

Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первымPositive Hack Days
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
 
Продвинутая web-отладка с Fiddler
Продвинутая web-отладка с FiddlerПродвинутая web-отладка с Fiddler
Продвинутая web-отладка с FiddlerAlexander Feschenko
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Expolink
 
Как собрать самому хакерский планшет
Как собрать самому хакерский планшетКак собрать самому хакерский планшет
Как собрать самому хакерский планшетPositive Hack Days
 
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QAFest
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
 
Dangerous controllers
Dangerous controllersDangerous controllers
Dangerous controllersPositive Hack Days
 
Ruscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureRuscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureDmitry Evteev
 
Многопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметкиМногопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметкиDotNetConf
 
Evil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивкуEvil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивкуPositive Hack Days
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
 
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей ОзерицкийYandex
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Expolink
 
Веб-сервер
Веб-серверВеб-сервер
Веб-серверlectureswww lectureswww
 
Часть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машинЧасть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машинOleg Popov
 
Использование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестированияИспользование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестированияSQALab
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 
E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010Sergey Duka
 
Анализ трафика
Анализ трафикаАнализ трафика
Анализ трафикаlectureswww lectureswww
 
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...Expolink
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
Сокеты
СокетыСокеты
Сокетыlectureswww lectureswww
 
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareРазвертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareCisco Russia
 
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...Nick Turunov
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 

More Related Content

What's hot

С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
 
Ruscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureRuscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureDmitry Evteev
 
Многопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметкиМногопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметкиDotNetConf
 
Evil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивкуEvil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивкуPositive Hack Days
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
 
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей ОзерицкийYandex
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Expolink
 
Часть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машинЧасть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машинOleg Popov
 
Использование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестированияИспользование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестированияSQALab
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 
E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010Sergey Duka
 
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...Expolink
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareРазвертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareCisco Russia
 
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...Nick Turunov
 

What's hot (20)

С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим Чакрян
 
Dangerous controllers
Dangerous controllersDangerous controllers
Dangerous controllers
 
Ruscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureRuscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full Disclosure
 
Многопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметкиМногопоточное программирование на C#, путевые заметки
Многопоточное программирование на C#, путевые заметки
 
Evil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивкуEvil Printer: собираем нескучную прошивку
Evil Printer: собираем нескучную прошивку
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
 
Веб-сервер
Веб-серверВеб-сервер
Веб-сервер
 
Часть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машинЧасть 5: Оркестрация виртуальных машин
Часть 5: Оркестрация виртуальных машин
 
Использование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестированияИспользование Open Source инструментов для автоматизации тестирования
Использование Open Source инструментов для автоматизации тестирования
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010E token pki client 5 1 sp1 руководство администратора 29-06-2010
E token pki client 5 1 sp1 руководство администратора 29-06-2010
 
Анализ трафика
Анализ трафикаАнализ трафика
Анализ трафика
 
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
Астерит. Михаил Пузин. "Аудит защищенности внешнего периметра. Реальные приме...
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стек
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек
 
Сокеты
СокетыСокеты
Сокеты
 
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareРазвертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
 
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
Средства строгой аутентификации в новой парадигме: от защиты объекта - к защи...
 

Similar to Анализ работы антивирусных лабораторий

История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 
Эволюция BackDoor.Flashback
Эволюция BackDoor.FlashbackЭволюция BackDoor.Flashback
Эволюция BackDoor.Flashbackhexminer
 
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...Positive Hack Days
 
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Ontico
 
Леонид Васильев "Python в инфраструктуре поиска"
Леонид Васильев "Python в инфраструктуре поиска"Леонид Васильев "Python в инфраструктуре поиска"
Леонид Васильев "Python в инфраструктуре поиска"Yandex
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Взломать сайт на ASP.NET
Взломать сайт на ASP.NETВзломать сайт на ASP.NET
Взломать сайт на ASP.NETPositive Hack Days
 
Совместные решения Citrix и Dell для правильной организации рабочих мест
Совместные решения Citrix и Dell для правильной организации рабочих местСовместные решения Citrix и Dell для правильной организации рабочих мест
Совместные решения Citrix и Dell для правильной организации рабочих местDell_Russia
 
"Пиринговый веб на JavaScript"
"Пиринговый веб на JavaScript""Пиринговый веб на JavaScript"
"Пиринговый веб на JavaScript"FDConf
 
Как превратить приложение в платформу
Как превратить приложение в платформуКак превратить приложение в платформу
Как превратить приложение в платформуVadim Kruchkov
 
Процесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciПроцесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciАлександр Сигачев
 
Как это будет: ASP.NET Core
Как это будет: ASP.NET CoreКак это будет: ASP.NET Core
Как это будет: ASP.NET CoreDotNetConf
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 ctiCTI_analytics
 
IT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчикаIT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчикаMikhail Chinkov
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 

Similar to Анализ работы антивирусных лабораторий (20)

История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
Эволюция BackDoor.Flashback
Эволюция BackDoor.FlashbackЭволюция BackDoor.Flashback
Эволюция BackDoor.Flashback
 
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...
Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе...
 
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
 
Леонид Васильев "Python в инфраструктуре поиска"
Леонид Васильев "Python в инфраструктуре поиска"Леонид Васильев "Python в инфраструктуре поиска"
Леонид Васильев "Python в инфраструктуре поиска"
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Взломать сайт на ASP.NET
Взломать сайт на ASP.NETВзломать сайт на ASP.NET
Взломать сайт на ASP.NET
 
Совместные решения Citrix и Dell для правильной организации рабочих мест
Совместные решения Citrix и Dell для правильной организации рабочих местСовместные решения Citrix и Dell для правильной организации рабочих мест
Совместные решения Citrix и Dell для правильной организации рабочих мест
 
"Пиринговый веб на JavaScript"
"Пиринговый веб на JavaScript""Пиринговый веб на JavaScript"
"Пиринговый веб на JavaScript"
 
Как превратить приложение в платформу
Как превратить приложение в платформуКак превратить приложение в платформу
Как превратить приложение в платформу
 
Процесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciПроцесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ci
 
Как это будет: ASP.NET Core
Как это будет: ASP.NET CoreКак это будет: ASP.NET Core
Как это будет: ASP.NET Core
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроля
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 cti
 
IT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчикаIT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчика
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Анализ работы антивирусных лабораторий

  • 1. WHOAMI Markov Pavel: Found zero-day in Windows (execute arbitrary code by manipulating with folder settings) Just a developer Agievich Igor: Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006) Not even a developer :)
  • 2. С чего всё началось Нашей командой создавалось корпоративное приложение для синхронизации данных с облаком
  • 3. Состав приложения Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер). Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.
  • 4. Через некоторое время в логах сервера Remote IP: 109.74.154.83 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
  • 5. Пробиваем данные о подозрительном IP General Information Hostname 109-74-154-83.ptr.eset.com IP 109.74.154.83 Preferable MX a.mx.eset.com
  • 6. Другие записи логов Remote IP: 193.71.68.2 User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4 Nslookup nslookup 193.71.68.2 Non-authoritative answer: 2.68.71.193.in-addr.arpa name = norman.norman.no
  • 7. Следующий лог Remote IP: 150.70.172.108 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.172.108 Делаем привычный запрос nslookup $ nslookup 150.70.172.108 Non-authoritative answer: 108.172.70.150.in-addr.arpa name = 150-70-172- 108.trendmicro.com
  • 8. И опять trendmicro Remote IP: 150.70.64.197 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.64.197 Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.
  • 9. Что всё это значит?  Кто-то взломал сети антивирусников и использует их как прокси  Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.
  • 10. Логи ошибок от клиентского ПО Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага). Результат ipconfig с одного из клиентов: Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . . . . . . . : 00-50-56-8E-01-10
  • 11. Результат dir C: с другого клиента Directory of c: 04/16/2010 12:25 0 AUTOEXEC.BAT 04/16/2010 12:25 0 CONFIG.SYS 04/16/2010 12:27 <DIR> Documents and Settings 04/12/2012 13:17 459,982 A0iYkCc.exe 04/16/2010 12:27 <DIR> Program Files 12/11/2011 13:02 <DIR> WINDOWS 3 File(s) 459,982 bytes 3 Dir(s) 8,396,890,112 bytes free
  • 12. Результат systeminfo Название ОС: Microsoft Windows XP Professional Версия ОС: 5.1.2600 Service Pack 3 Build 2600 Дата установки: 2010-4-29, 5:35:19 Изготовитель системы: Red Hat Модель системы: KVM Тип системы: X86-based PC Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz Версия BIOS: QEMU - 1
  • 13. Результат tasklist System Idle Process 0 Console 0 28 K Running NT AUTHORITYSYSTEM python.exe 1776 Console 0 4,412 K Running Admintrator pythonw.exe 1820 Console 0 6,352 K Running Admintrator hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator
  • 14. Ещё из логов в тот же день Remote IP: 69.164.111.198 User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC whois возвращает строчку OrgName: Sungard Network Solutions, Inc. Вот их сайт: http://www.sungard.com
  • 15. Неведома зверушка из Германии Remote IP: 91.20.15.86 User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) Из whois: person: Security Team remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.
  • 16. С чего такой интерес со стороны АВ лабораторий? Функционал ПО, который может оказаться подозрительным: 1. Сбор информации о системе 2. Реализация удалённого обновления (download and exec — как зловред)
  • 17. Выводы 1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси. 2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления. 3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.